Incidents de sécurité de l'information : Les employés comme facteur de réussite

CONTENU

• Les sites Web sont comme des livres ouverts
• Le plus simple est le plus dangereux
• Les adresses e-mail : Le "capital" du phishing
• Sensibilisation à la sécurité : Le cheval de Troie arrive officiellement
• Incidents de sécurité informatique : Un exemple concret
• Sécurité de l'information : Les employés comme facteur de réussite
• Le nerf de la guerre : sensibiliser les employés aux attaques
• ISO 27001 : la sensibilisation comme élément du catalogue de mesures
• Un incident de sécurité de l'information est généralement synonyme de chaos
• La porte dérobée dans votre système
• Manque de sensibilisation : parfait pour une attaque ciblée
• Minimiser la probabilité d'un incident

Les sites Web sont comme des livres ouverts

La sécurité informatique et la sécurité de l'information sont connues pour être deux paires de chaussures bien différentes, mais les lignes peuvent encore être floues. Il est clair que les incidents de sécurité informatique entraînent régulièrement des incidents de sécurité de l'information. Bien sûr, si je suis un pirate informatique qui compromet un réseau d'entreprise, je devrais être assis devant l'écran et fermer les yeux convulsivement pour éviter de prendre une information qui ne m'était pas destinée.

Cependant, il est également possible que les cybercriminels collectent initialement des informations qui, à long terme, leur permettent d'attaquer les systèmes informatiques de la victime qu'ils ont choisie.

Sur la plateforme de vérification de la sécurité greenhats.com, notre travail quotidien consiste à pirater des entreprises, à identifier les vulnérabilités et à les corriger avant que les criminels ne les trouvent.

Fidèle à la devise "Parlons-en", je voudrais dans cet article vous expliquer en détail une méthode d'attaque qui touche tout le monde. Et avec vous, j'aimerais répondre à la question suivante : Pourquoi est-ce que je vous raconte tout ça ?

Incidents de sécurité de l'information : Le plus simple est le plus dangereux

Nous parlons bien sûr de l'attaque dite de "phishing" - ne vous inquiétez pas, je vais essayer de vous épargner d'autres mots étrangers et du vocabulaire informatique. Je n'en ai même pas besoin, car le phishing n'est pas une attaque technique, mais une attaque sur le maillon le plus faible de la chaîne de (presque) tous les concepts de sécurité. Une attaque contre les personnes.

Supposons que je veuille vous attaquer. Dans ce cas, je ne vais pas simplement m'asseoir au hasard devant mon ordinateur portable et commencer à taper sur des consoles noires. Non, il me faut d'abord... exactement ! D'informations et de données personnelles. Cela comprend :

• Les adresses e-mail de votre entreprise
• Les noms de votre personnel informatique
• Les signatures de courriel
• Des informations sur l'identité de votre entreprise
• Un sujet intéressant pour vos employés

En supposant que je ne connaisse rien d'autre que le nom de votre entreprise, je vais naturellement d'abord sur le site Web, je lis et j'apprends tout ce qu'il y a à apprendre. Avant tout, je suis intéressé par les adresses e-mail et les personnes de contact de votre service informatique. Car dans l'attaque suivante, je veux envoyer un faux e-mail à autant d'employés que possible (dont j'ai besoin des adresses) tout en évitant autant que possible de l'envoyer également à l'IT.

Les adresses e-mail : Le "capital" d'une attaque de phishing.

Une fois que j'ai trouvé quelques adresses e-mail, j'en déduis le modèle. Par exemple, "firstname.lastname@samplecompany.com" J'essaie alors de discoer la logique qui permet de déduire l'adresse e-mail de l'employé à partir de son nom.

Puis je retourne sur Internet, cette fois-ci sur les réseaux sociaux. Je ne parle pas des acteurs "maléfiques" comme Facebook & Co. XING et LinkedIn sont beaucoup plus intéressants.

J'y recherche votre entreprise et je regarde quelles personnes déclarent travailler pour cette entreprise. J'obtiens ainsi une liste de noms dont nous pouvons dériver des adresses à l'aide du modèle identifié. En même temps, je peux déjà dire, à partir des profils dans les réseaux sociaux, lesquels de vos collègues pourraient potentiellement reconnaître mon attaque à venir sur la base de leur expérience professionnelle et de leurs intérêts informatiques.

Ces collègues ne recevront pas de faux courrier de ma part.

Sensibilisation à la sécurité : Le cheval de Troie arrive officiellement

Maintenant que je connais la cible de mon attaque, je veux me faire passer pour un employé de votre entreprise. Pour ce faire, j'entre d'abord en contact avec vous. Par des canaux officiels, par exemple en tant que client potentiel. Je vous écris un e-mail et vous demande un devis. Vous me répondez - idéalement avec un portefeuille de produits ou autre.

Votre réponse me fournit des informations précieuses :

• À quoi ressemble votre signature électronique ?
• Quelles polices de caractères utilisez-vous ?
• Où placez-vous votre logo dans les documents ?
• Comment mettez-vous en valeur les titres ?
• Quelles couleurs utilisez-vous ?
• Et, et, et...

Jusqu'ici, ce n'est pas sorcier. Mais attention, c'est là que le bât blesse. Supposons que votre entreprise s'appelle "EntrepriseEchantillon" et que l'on puisse la trouver sur Internet à l'adresse "entrepriseEchantillon.com". Je cherche maintenant une adresse sur Internet qui ressemble beaucoup à la vôtre. Par exemple, "entreprise-échantillon.eu". J'achète cette adresse (cela ne coûte en réalité que quelques euros) et je peux maintenant construire mon attaque sur cette adresse.

En effet, à partir de "firstname.lastname@samplecompany.eu", je peux envoyer des courriers électroniques portant votre signature et ayant l'air de provenir directement de vous. Peu importe les noms ou synonymes que j'utilise comme expéditeur, car techniquement, cela ne fait aucune différence.

Incidents de sécurité informatique : Un exemple concret

Votre directeur commercial n'est pas votre directeur commercial

Cela peut être vraiment dangereux si je me fais passer pour l'administrateur de votre service informatique, par exemple. Je vous écris un e-mail à vous et à tous vos collègues, dans lequel j'attire votre attention, par exemple, sur un nouveau portail vidéo pour les réunions à distance, où tous les employés doivent s'authentifier une fois pour vérifier si les contacts existants ont été transférés.

Ou lorsque je vous écris en tant qu'assistant de votre directeur général pour vous expliquer que la fête de Noël a été annulée en raison de la pandémie, mais qu'à la place, cinq iPhones flambant neufs sont tirés au sort par la direction. Afin de garantir que chacun ne se retrouve qu'une seule fois dans le pot de la loterie, veuillez demander à chaque employé de s'authentifier une fois sur le portail ci-joint - les gagnants seront ensuite annoncés à la fin du mois de décembre.

Fausse zone de connexion : Un jeu d'enfant à l'heure de la numérisation

Quelle que soit la méthode choisie, je dois vous envoyer un lien menant au "portail" en question. Il peut s'agir de "raffle.samplecompany.eu" ou de "portal.samplecompany.eu".

À ce stade, je peux également laisser libre cours à ma créativité. Puisque je suis propriétaire de la page correspondante, il me suffit d'y construire quelque chose qui vous paraisse digne de confiance, à vous et à vos collègues. Dans le cas du concours, par exemple, une belle zone de connexion au design de votre entreprise, avec votre logo et peut-être un petit père Noël. Ou des étoiles filantes.

Les mots de passe se retrouvent chez l'attaquant - en texte clair

Bien entendu, la sécurité est une priorité absolue sur mon portail ! Tout est parfaitement crypté et il est impossible à des tiers de lire vos données. Après tout, vous saisissez des noms d'utilisateur et des mots de passe, qui sont des informations sensibles. D'un point de vue technique, tout cela est absolument sérieux. Vos données sont transférées en toute sécurité et aboutissent dans les meilleures mains - les miennes.

À propos, la complexité de votre mot de passe n'a aucune importance dans ce type d'attaque ; il se retrouve en texte clair chez l'attaquant. Et n'oubliez pas que (même si elles sont un peu plus complexes) une grande variété de solutions à 2 facteurs peuvent être "hameçonnées" si j'adapte mon portail en conséquence.

Sécurité de l'information : Les employés comme facteur de réussite

Je vous ai promis d'éclaircir la question la plus importante à la fin : Pourquoi est-ce que je vous raconte tout ça ? La réponse est la suivante : Qui d'autre ?

Il est important de comprendre que l'attaque que je décris n'est - d'un point de vue purement technique - pas du tout une attaque. Je vous écris un courriel à partir d'une adresse qui m'appartient réellement. Il n'y a même pas de pièce jointe, et encore moins de logiciel malveillant. Vous êtes redirigé vers une page Internet qui ne cherche pas à compromettre votre système. Et comme je l'ai décrit précédemment, ce site est également parfaitement sécurisé et tout le trafic est crypté de manière optimale.

Il en va de même pour les autres sites (réputés) sur lesquels vous vous connectez. Et tout comme vous entrez votre mot de passe privé sur LinkedIn ou XING pour vous authentifier, vous l'entrez maintenant sur mon site.

Il est important de comprendre que, d'un point de vue technique, je ne suis pas en train de falsifier un e-mail. Je suis en train de falsifier l'ensemble de votre entreprise.

Et c'est exactement la raison pour laquelle les mesures de protection techniques ne fonctionnent pas. La solution réside dans la détection et la prévention de l'attaque - et cela dépend de vous. Tout comme les mesures appropriées pour sensibiliser les employés dans ce sens.

Car si j'ai bien monté ce scénario, la détection de l'attaque n'est possible qu'en remarquant la différence dans l'adresse, donc dans notre cas le ".eu" au lieu de votre ".com". Je suis conscient que l'un ou l'autre d'entre vous est maintenant absolument sûr d'avoir la vue d'ensemble nécessaire pour faire cela même dans son travail quotidien stressant. C'est pourquoi je voudrais donner aux plus avancés d'entre vous un peu de matière à réflexion :

Reconnaîtriez-vous également "samplecompany.com" comme un faux ? Un petit indice : le "l" n'est pas un L mais la lettre grecque "Iota". Pour l'œil humain, il n'y a aucune différence entre les deux, votre ordinateur les voit probablement un peu différemment. Je peux vous assurer que dans toutes les attaques de phishing que nous avons simulées pour des entreprises, il n'y a pas eu un seul client où aucun employé n'a révélé ses données.

L'essentiel : sensibiliser les employés aux attaques

La question n'est donc pas de savoir si vos collègues se laisseraient prendre à une telle attaque. La question est bien plus de savoir combien d'employés reconnaîtront l'attaque, à quelle vitesse ils la signaleront au service informatique et de combien de temps ce dernier disposera pour réagir.

C'est exactement là que l'employé devient un facteur de réussite pour la sécurité de l'information et la sécurité informatique en termes de sensibilisation à la sécurité.

Je ne veux pas être l'un de ces pirates blancs qui gardent leurs stratégies pour eux et profitent des résultats désastreux de ces attaques. J'aimerais bien plus contribuer avec vous à rendre votre entreprise un peu plus sûre.

C'est maintenant votre tour : Ce que je viens de vous décrire n'est qu'un exemple des nombreuses façons dont les personnes et leur traitement parfois négligent de l'information peuvent être exploitées et utilisées pour faire du profit en tant qu'attaquant. Les services informatiques ne peuvent s'en protéger que dans une mesure limitée, voire pas du tout ; c'est leur travail. Inventez vous-même des attaques, réfléchissez à la manière dont vous pourriez détourner vos collègues et faites-en un sujet à la table (virtuelle) du déjeuner.

ISO 27001 : la sensibilisation comme élément du catalogue de mesures

Et puis, mettez régulièrement votre entreprise à l'épreuve et intégrez la sensibilisation dans votre plan de sécurité. En lisant un peu entre les lignes, vous trouverez également cela dans la norme internationalement reconnue pour un système de management de la sécurité de l'information (SMSI).

La norme ISO/IEC 27001, par exemple, vous demande de sensibiliser le maillon le plus faible de la chaîne à la manière de traiter les informations de votre entreprise (chapitre 7.3 et annexe 7.2.2). Cela commence par quelque chose d'aussi simple qu'une adresse électronique. D'autres exigences réglementaires ou légales, telles que le GDPR, ciblent également l'approche préventive d'évitement des incidents.

Répondez aux exigences de la norme par des mesures de sensibilisation, telles que des directives, des formations, une communication sur l'actualité en cours, voire des simulations d'attaques de phishing, comme nous le faisons pour nos clients. Et : Soyez honnête avec vous-même et demandez-vous dans quelle mesure vos précédentes mesures de formation ont réussi à vous préparer à une urgence comme celle que je viens de décrire.

Un incident de sécurité de l'information est généralement synonyme de chaos

Puisque nous parlons d'honnêteté, comment réagiriez-vous réellement à un incident de sécurité de l'information déclenché par une cyberattaque ? Certes, le sujet de la sécurité réactive est toujours un peu inconfortable, mais il faut en parler.

Les gens aiment à penser qu'il s'agit d'un exercice d'alarme incendie : à un moment donné pendant les heures de travail, une cloche sonne inopinément, tout le monde quitte le bâtiment dans l'ordre et le calme, attend un peu dehors et discute du temps qu'il fait avec ses collègues, et au bout d'un moment, tout le monde est autorisé à revenir et à prendre un café en chemin.

Mais ce n'est pas comme ça.

Mon équipe a déjà été contactée par quelques entreprises où il y a eu une attaque, et je peux vous le promettre : C'est le chaos. Même plusieurs jours après l'événement réel. Entre autres raisons, c'est parce que les hackers modernes profitent de l'arrogance de leurs victimes.

Pour vous expliquer cela, revenons à notre attaque de phishing. Imaginons que je parvienne, en tant qu'attaquant, à me connecter à distance au système informatique d'un de vos collègues en utilisant son mot de passe. Pensez-vous que je ne saurais pas que quelqu'un dans votre entreprise remarque qu'il y a eu une attaque et le signale au service informatique ? Dans le meilleur des cas, vous le faites personnellement, j'en suis pleinement conscient.

Incidents de sécurité informatique : La porte dérobée dans votre système

C'est pourquoi je fais deux choses : Premièrement, je fais quelque chose d'évident qui ennuie votre entreprise et vous donne quelque chose à faire. Par exemple, j'envoie des spams à vos clients au nom de votre collègue. Cela se remarque et vous donne à vous et à votre service informatique quelque chose à faire. Vous pouvez maintenant sortir tous vos plans d'urgence du placard et résoudre l'incident de sécurité de l'information de manière optimale avec vos représentants informatiques. Y compris des mesures de marketing sophistiquées qui poliront l'image ternie pour lui donner un nouveau lustre et vous feront peut-être passer pour un "survivant" encore meilleur qu'avant. Les professionnels peuvent le faire.

Mais en même temps, en tant qu'attaquant, j'essaie de créer une porte dérobée vers un système que votre service informatique ne remarquera pas dans tout ce brouhaha. C'est comme si j'entrais dans une bijouterie, que je renversais la plus grande vitrine et que je mettais secrètement dans ma poche toutes les bagues et montres coûteuses pendant que tout le monde se jette sur les pièces cassées.

Inutile de dire que ma porte de derrière est extrêmement difficile à trouver si vous ne savez pas ce que vous cherchez. Et ensuite je ne fais rien. Pendant des semaines, des mois.

J'essaie maintenant de me frayer un chemin dans votre réseau d'entreprise, silencieusement. Sans scanners logiciels "bruyants", qui épuiseraient votre réseau et alerteraient vos systèmes de sécurité. Entièrement manuellement, quasi old school. À propos, c'est là que le grain se sépare de l'ivraie du côté des pirates. Si votre réseau n'a été exposé aux scanners de sécurité que dans des scénarios de test, cela ne vous sera d'aucune utilité maintenant. Je me déploie et j'attends - patiemment. J'essaie d'identifier quand et comment les sauvegardes sont effectuées, qui communique avec qui, et où votre organisation est la plus sensible. Dans notre exemple, je fais probablement cela la nuit - ou du moins après les heures de travail principales, lorsque je suis encore moins susceptible d'être observé. Et, bien sûr, je couvre mes traces tous les jours.

Et puis - des mois plus tard - le grand incident de sécurité informatique se produit. Tout à fait inattendu pour votre entreprise. Par exemple, j'utilise alors l'un des nombreux chevaux de Troie de cryptage pour vous faire chanter. Par "coïncidence", cependant, grâce à mon travail préliminaire, il s'exécute sous les plus hauts privilèges, contourne vos mesures de sécurité et se propage d'abord aux systèmes contenant vos fichiers les plus importants. Et si, pendant tout ce temps, j'ai remarqué une faiblesse dans votre système de sauvegarde... Comme je l'ai dit, c'est le chaos.

Le manque de sensibilisation : parfait pour une attaque ciblée

Oui, nous en sommes encore à notre exemple, mais ce n'est en aucun cas Hollywood. Il s'agit d'une pratique courante et d'une raison essentielle pour laquelle nous entendons et lisons encore si souvent des histoires d'entreprises aux prises avec de tels chevaux de Troie de chiffrement. Il y a quelques années, ces derniers étaient plus ou moins lâchés sur l'Internet, et seuls les moutons les plus faibles du troupeau en étaient victimes : les entreprises dont la sécurité technique extérieure était faible.

Les choses sont différentes aujourd'hui. Le manque de sensibilisation des employés est utilisé pour cibler les entreprises et ce n'est que lorsque la victime est entièrement contrôlée que le logiciel d'attaque automatisé est déployé.

Je reste convaincu que les mesures de sécurité informatique proactives et, en particulier, une forte sensibilisation à la sécurité sont les éléments les plus importants du concept de sécurité informatique de toute entreprise - il y a simplement trop d'exemples et de cas concrets pour le confirmer. Néanmoins, une sensibilisation à la sécurité bien développée implique également de comprendre qu'il est possible d'être affecté. Je m'inclus dans cette liste. Et si cela devait arriver, vous devriez être prêt.

Minimiser la probabilité d'occurrence

J'ai délibérément inclus l'exemple de l'alarme incendie dans mes remarques. L'entreprise est ainsi préparée au cas où, malgré toutes les mesures proactives, un incendie se déclarerait. Certaines entreprises ont également quelque chose de ce genre pour les incidents de sécurité de l'information et les incidents de sécurité informatique. Et si c'est un peu trop pour vous (cela dépend toujours de l'entreprise dans chaque cas individuel), j'ai encore un conseil pour vous :

Si vous mettez en œuvre des tests de pénétration ou d'autres simulations d'attaque dans le cadre de vos mesures de sécurité proactives, ne vous contentez pas de corriger les vulnérabilités que vous trouvez. Posez-vous toujours la question : Cette vulnérabilité a-t-elle déjà été exploitée par le passé ? Des portes dérobées ont-elles été installées ?

Ou, dit autrement, traitez chaque " constat " avec le sérieux d'un véritable incident de sécurité informatique. De cette façon, vous minimisez les probabilités d'occurrence tout en mettant à l'épreuve vos plans de sécurité réactifs - dont je souhaite sincèrement que vous n'ayez jamais besoin. Comme l'alarme incendie.

Tout cela fait partie de la sensibilisation et, en même temps, ne constitue qu'une partie de l'ensemble. Mais grâce à cette composante importante, vous pourrez, je l'espère, me sourire lorsque je vous demanderai : "Si je m'y mets demain, pourrais-je vous surprendre du mauvais pied ?". Avec un peu de chance.

Confiance et expertise

Nos textes et brochures sont rédigés exclusivement par nos experts en normes ou nos auditeurs ayant une longue expérience. Si vous avez des questions sur le contenu du texte ou sur nos services à l'auteur, n'hésitez pas à nous contacter.